Apple: Hacker macht In-App-Käufe gratis

Der russische Hacker ZoneD 80, der mit echtem Namen Alexey V. Borodin heißt, hat die Sicherheitsvorkehrungen von Apple für In-App-Käufe geknackt und eine Anleitung ins Netz gestellt, mit der man kostenpflichtige Zusatzinhalte gratis herunterladen kann. Ein Jailbreak von iPhone, iPad oder iPod Touch, bisher die Voraussetzung für das kostenlose Herunterladen von eigentlich kostenpflichtigen Inhalten, ist dafür nicht nötig.

Wie der Hacker auf seiner Website beschreibt, muss der Nutzer dazu zwei gefälschte CA-Zertifikate auf seinem Apple-Mobilgerät installieren und in den Wlan-Einstellungen den Menüpunkt DNS auf eine spezielle, vom Hacker zur Verfügung gestellte Internet-Adresse ändern. Danach sei es mit dem Benutzernamen LOVE und einem beliebigen Passwort möglich, In-App-Käufe kostenlos auszuführen. Nach Forenangaben funktioniert der Hack mit den meisten Programmen und sogar Abos im Zeitungskiosk. Doch nicht alle In-App-Käufe lassen sich nach dem Download aktivieren.

Auf den ersten Blick scheint dieser Hack für den Nutzer gefährlich, könnte er über die Methode doch persönliche Informationen wie die Zugangsdaten zu seinem iTunes-Account an den Hacker weitergeben. Viele haben in iTunes ihre Kreditkarten-Daten hinterlegt oder Guthaben gespeichert.

Borodin versichert jedoch, kein Interesse an den Daten zu haben und empfiehlt, sich vor dem Hack des iPhone, iPad oder iPod Touch von seinem iTunes-Account abzumelden. Er erklärt außerdem, dass sämtliche Log-Funktionen auf seinen Servern abgeschaltet seien. Darüber hinaus könne der Nutzer bei der Abfrage des Passwortes während der In-App-Käufe eine beliebige Buchstaben- oder Zahlenkombination nutzen.

Apple weiß mittlerweile auch über die Sicherheitslücke Bescheid und versucht, sie mit allen Mitteln zu schließen. Bisher konnte der Hacker jedoch jeden dieser Versuche umgehen. Lange wird es aber wohl nicht dauern, bis der kalifornische Konzern eine Lösung findet, die nicht mehr zu knacken ist.